Un nouveau suspect de REvil visé par les États-Unis
Les États-Unis ont officiellement accusé Alexander Ermakov, un citoyen russe, d’avoir orchestré une cyberattaque contre Medibank, une entreprise australienne, en 2022, le désignant comme membre du groupe de cybercriminels REvil.
Alexander Ermakov, 33 ans, présumé être l’un des derniers membres actifs de REvil en Russie, fait l’objet de sanctions annoncées par le département américain du Trésor. « La menace constante des cybercriminels russes, qui lancent des attaques destructrices avec des rançongiciels contre les États-Unis et leurs alliés, ne diminue pas. Ces attaques visent nos entreprises, y compris nos infrastructures critiques, dans le but de dérober des données sensibles« , a déclaré Brian Nelson, sous-secrétaire au Trésor des États-Unis.
Le Royaume-Uni et l’Australie ont également imposé des sanctions à Ermakov, après que l’attaque contre Medibank ait résulté en la fuite de données personnelles de 9,7 millions d’individus, informations qui restent accessibles sur plusieurs marchés noirs. « Ermakov et ses complices de l’attaque contre Medibank sont soupçonnés d’être liés au groupe REvil, soutenu par la Russie« , indique le Trésor américain.
Les sanctions comprennent le gel des avoirs d’Ermakov dans trois pays et interdisent à toute entreprise ou citoyen de ces pays de commercer avec lui. Son compte PayPal a également été gelé.
Ransomware, blackmarket et politique !
Le département du Trésor a listé les pseudonymes utilisés par Ermakov sur des marchés du darknet, incluant GustaveDore, aiiis_ermak, blade_runner et JimJones, bien que la plupart de ces comptes soient inactifs depuis longtemps. En 2020, Ermakov a tenté de vendre le rançongiciel Sugar Locker et a rejoint le groupe RAMP en novembre 2021, rebaptisant son logiciel malveillant en Andropov. L’utilisation de l’outil REvil par Ermakov dans ses activités de ransomware soulève des questions sur son association avec ce groupe.
Malgré les sanctions américaines, Ermakov, qui réside actuellement en Russie, pourrait ne pas être significativement affecté. Toutefois, ces actions mettent en lumière le fait qu’Ermakov possède un portefeuille Bitcoin conséquent, attirant potentiellement l’attention dans le milieu de la cybercriminalité.
REvil et le hack de Medibank
En octobre 2022, Ermakov a infiltré le réseau de Medibank, l’un des plus grands assureurs santé privés d’Australie, dérobant des données personnelles et de santé sensibles concernant près de 9,7 millions de clients et employés. REvil, un des gangs de cybercriminalité les plus notoires, a disparu en juillet 2021. Opérant un modèle de ransomware-as-a-service, REvil était motivé par le profit financier, ayant infecté environ 175 000 ordinateurs à travers le monde et récolté au moins 200 millions de dollars en rançons.
Les sanctions contre Ermakov sont basées sur le décret exécutif 13694, modifié par l’EO 13757, interdisant toutes transactions impliquant des personnes ou entités bloquées par les États-Unis, directement ou indirectement. Ces mesures visent à restreindre l’accès d’Ermakov aux ressources financières internationales et à signaler aux autres acteurs de la cybercriminalité les risques associés à des transactions avec lui, rendant ainsi sa situation nettement plus précaire.